Полное описание

Имя:	TR/Dldr.Tcom.1
Обнаружен:	19/07/2005
Вид:	Троянская программа
Подвид:	Downloader
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	5.632 байт.
Контрольная сумма MD5:	8e3cf147f6d642b4e0808cec743d856e
Версия VDF:	6.31.0.234

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Symantec: Download.Trojan
   • Mcafee: Downloader-ACS
   • Kaspersky: Trojan-Downloader.Win32.Murlo.as
   • TrendMicro: TROJ_VIDLO.K
   • Sophos: Troj/Vidlo-R
   • VirusBuster: Trojan.DL.Vidlo.H

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Последствия:
   • Загружает вредоносные файлы
   • Изменение реестра

Файлы Создается собственная копия:
   • %WINDIR%\%выполненный файл%

Выполненная копия программы удаляется.

Удаляется следующий файл:
   • %Рабочая папка вредоносной программы%\a.bat

Создаются следующие файлы:

– %Рабочая папка вредоносной программы%\a.bat Файл является безвредным текстовым файлом со следующим содержимым:
   • :l
     del %1
     if exist %1 goto l
     del %0

– %SYSDIR%\dllsys.dll

Попытка загрузки следующих файлов:

– Следующие URL:
   • http://www.**********.net/images/2.exe
   • http://www.**********.ru/eshop/sys/2.exe
   • http://**********.com.ua/files/2.exe
   • http://www.**********.ru/test/pics/2.exe
   • http://**********/unix/2.exe
Сохраняется локально в: %HOME%\local settings\temporary internet files Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Tcom.2

– Следующие URL:
   • http://www.**********.net/images/3.exe
   • http://www.**********.ru/eshop/sys/3.exe
   • http://**********.com.ua/files/3.exe
   • http://www.**********.ru/test/pics/3.exe
   • http://**********/unix/3.exe
Сохраняется локально в: %HOME%\local settings\temporary internet files Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\software\microsoft\windows\currentversion\run\]
• "winldr"="%WINDIR%\%выполненный файл%"

Описание добавил Sergiu Oprea в(о) среда, 3 августа 2005 г.
Описание обновил Sergiu Oprea в(о) пятница, 26 августа 2005 г.

Назад . . . .